当堤坝决口时——以及发表意见的权威
Posted: Sun Dec 15, 2024 6:41 am
很多人都知道这首歌,这首歌的创作背景是 1927 年密西西比州发生的一场破坏性洪水,这场洪水摧毁了许多房屋,摧毁了密西西比盆地的农业经济。许多人被迫逃往中西部城市寻找工作。
我认为,当 FedRAMP High 基线与国防部 (DoD) 影响等级 (IL) 4/5 的最终意见 台湾电话号码开头 或互惠 (选择您最喜欢的词汇) 完成时,该堤坝即将再次破裂。FedRAMP High 基线在开始时是为了匹配 DoD 安全要求指南 (SRG) 的云安全要求,但 SRG 处于不断变化 (修订) 中,到目前为止,据我所知,尚未完全映射。正如云服务提供商 (CSP) 的 FedRAMP 中等基线操作权限 (ATO) 允许一对一映射 DoD SRG IL 2(面向互联网而不是 NIPRnet)一样,将 FedRAMP High 与 DoD SRG 4/5 进行映射将允许云服务提供商向 DoD 市场销售更多产品。
在本文中,我不会深入讨论国防部的所有影响级别和 SRG 要求,但我想说的是,(希望)FedRAMP 与 IL 4/5 的高互惠性将帮助联邦云市场打破国防部采用云的堤坝(或障碍)。可以说,这个市场占美国政府市场信息技术总支出的一半,并受到现有流程的高度保护。
此处查看 DoD SRG 信息。
为什么这么神秘?
回到当前的话题,堤坝是一道屏障,一旦破裂,就会把事情搞砸。如果互惠互利完成,所有躲在国防部云安全限制背后的人都会有所损失。这不是正确的资本主义和自由市场思维。它将威胁那些将安全知识视为工作保障和合同锁(死亡之握)的人。
您说 FedRAMP 为 CSP 的进入设置了障碍?是的,但这是有充分理由的。ATO 流程应该很难,但它证明了 CSP 遵循了云安全实践的黄金标准。符合 FedRAMP High 标准的云服务应在这些更高影响级别上获得国防部授予的 P-ATO。
然而,FedRAMP High 与 DoD SRG 的协调尚未完成(但这并不是因为 FedRAMP 方面缺乏尝试)。国防信息系统网络 (DISN) 边界云接入点 (BCAP) 的奥秘以及连接方式并非火箭科学,但它们是少数不希望竞争的人严密保守的秘密。
此处可查看国防部有关 DISN BCAPs 的 SRG 信息。
好的但是…
到目前为止,亚马逊、甲骨文和微软已经进入了 IL 4/5 的应许之地(根据DISA,请注意,它最后一次更新是在 2016 年)。这与 FedRAMP 认证的数量相去甚远,后者的最新统计数据为 89 个,其中 ATO 被重复使用 528 次。这些获得批准的 IL 4/5 CSP 为 PaaS 和 SaaS 提供商铺平了道路,使他们能够利用 IaaS 作为“其他一切即服务”(EEaS?也许我只是编造的)的起点。此外,由于最近获得 DSIA milcoud 2.0 奖,Autonomic Resources' (CSRA) ARC-P 将很快将其 IaaS 货车连接到 IL 5。因此,适当的 IL 中的 IaaS 是存在的,但国防部可以在虚拟机管理程序之上(IaaS 之上)使用的解决方案呢?这些解决方案需要共同找到通往国防部应许之地的途径。所有利用 IaaS 提供商的云解决方案(这些提供商拥有或将拥有 IL 4/5)都需要访问 NIPRnet。
我们能做什么?
第一,支持 FedRAMP 项目管理办公室为允许国防部在 IL 4/5 实施互惠政策而开展的努力。如果愿意的话,让列车走上同一条轨道。
第二,处于 FedRAMP 中等水平的 PaaS 和 SaaS 提供商需要努力达到 FedRAMP 高级基准。这是为获得 IL 4/5 的运营授权做好准备。
第三,或者,从经批准的提供商那里购买一块 IaaS IL 4/5“土地”,并在其上构建您的 PaaS/SaaS,以继承 IaaS IL 4/5 控制和 BCAP 访问,然后遵循 FedRAMP High/SRG 指南来实现您想要的影响认证级别。
然后,对于喜欢现状的国防部系统集成商来说,“游戏开始了”。
游戏规则改变者!
法律声明——我的博客反映的是我的观点,而不是我的雇主、我以前的雇主、远房亲戚或我的猫(好吧,也许是我的猫)的观点。
John Keese 是 GovLoop 精选博主计划的成员,该计划精选了来自全国各地(和世界各地!)的政府博主的博文。要查看更多精选博文,请单击 此处。
我认为,当 FedRAMP High 基线与国防部 (DoD) 影响等级 (IL) 4/5 的最终意见 台湾电话号码开头 或互惠 (选择您最喜欢的词汇) 完成时,该堤坝即将再次破裂。FedRAMP High 基线在开始时是为了匹配 DoD 安全要求指南 (SRG) 的云安全要求,但 SRG 处于不断变化 (修订) 中,到目前为止,据我所知,尚未完全映射。正如云服务提供商 (CSP) 的 FedRAMP 中等基线操作权限 (ATO) 允许一对一映射 DoD SRG IL 2(面向互联网而不是 NIPRnet)一样,将 FedRAMP High 与 DoD SRG 4/5 进行映射将允许云服务提供商向 DoD 市场销售更多产品。
在本文中,我不会深入讨论国防部的所有影响级别和 SRG 要求,但我想说的是,(希望)FedRAMP 与 IL 4/5 的高互惠性将帮助联邦云市场打破国防部采用云的堤坝(或障碍)。可以说,这个市场占美国政府市场信息技术总支出的一半,并受到现有流程的高度保护。
此处查看 DoD SRG 信息。
为什么这么神秘?
回到当前的话题,堤坝是一道屏障,一旦破裂,就会把事情搞砸。如果互惠互利完成,所有躲在国防部云安全限制背后的人都会有所损失。这不是正确的资本主义和自由市场思维。它将威胁那些将安全知识视为工作保障和合同锁(死亡之握)的人。
您说 FedRAMP 为 CSP 的进入设置了障碍?是的,但这是有充分理由的。ATO 流程应该很难,但它证明了 CSP 遵循了云安全实践的黄金标准。符合 FedRAMP High 标准的云服务应在这些更高影响级别上获得国防部授予的 P-ATO。
然而,FedRAMP High 与 DoD SRG 的协调尚未完成(但这并不是因为 FedRAMP 方面缺乏尝试)。国防信息系统网络 (DISN) 边界云接入点 (BCAP) 的奥秘以及连接方式并非火箭科学,但它们是少数不希望竞争的人严密保守的秘密。
此处可查看国防部有关 DISN BCAPs 的 SRG 信息。
好的但是…
到目前为止,亚马逊、甲骨文和微软已经进入了 IL 4/5 的应许之地(根据DISA,请注意,它最后一次更新是在 2016 年)。这与 FedRAMP 认证的数量相去甚远,后者的最新统计数据为 89 个,其中 ATO 被重复使用 528 次。这些获得批准的 IL 4/5 CSP 为 PaaS 和 SaaS 提供商铺平了道路,使他们能够利用 IaaS 作为“其他一切即服务”(EEaS?也许我只是编造的)的起点。此外,由于最近获得 DSIA milcoud 2.0 奖,Autonomic Resources' (CSRA) ARC-P 将很快将其 IaaS 货车连接到 IL 5。因此,适当的 IL 中的 IaaS 是存在的,但国防部可以在虚拟机管理程序之上(IaaS 之上)使用的解决方案呢?这些解决方案需要共同找到通往国防部应许之地的途径。所有利用 IaaS 提供商的云解决方案(这些提供商拥有或将拥有 IL 4/5)都需要访问 NIPRnet。
我们能做什么?
第一,支持 FedRAMP 项目管理办公室为允许国防部在 IL 4/5 实施互惠政策而开展的努力。如果愿意的话,让列车走上同一条轨道。
第二,处于 FedRAMP 中等水平的 PaaS 和 SaaS 提供商需要努力达到 FedRAMP 高级基准。这是为获得 IL 4/5 的运营授权做好准备。
第三,或者,从经批准的提供商那里购买一块 IaaS IL 4/5“土地”,并在其上构建您的 PaaS/SaaS,以继承 IaaS IL 4/5 控制和 BCAP 访问,然后遵循 FedRAMP High/SRG 指南来实现您想要的影响认证级别。
然后,对于喜欢现状的国防部系统集成商来说,“游戏开始了”。
游戏规则改变者!
法律声明——我的博客反映的是我的观点,而不是我的雇主、我以前的雇主、远房亲戚或我的猫(好吧,也许是我的猫)的观点。
John Keese 是 GovLoop 精选博主计划的成员,该计划精选了来自全国各地(和世界各地!)的政府博主的博文。要查看更多精选博文,请单击 此处。